Como gerenciar vários recursos da organização

O recurso da organização estabelece a propriedade de projetos e pastas abaixo dele na hierarquia de recursos do Google Cloud Platform. Sua conta do Google Workspace ou do Cloud Identity está associada exatamente a um recurso da organização. Cada conta do Google Workspace ou do Cloud Identity também está associada a um domínio principal, como example.com. Para detalhes sobre como usar vários domínios, consulte Adicionar um domínio de alias de usuário ou um domínio secundário. Veja mais detalhes sobre como alterar o domínio principal de uma conta do Google Workspace em Alterar seu domínio principal do Google Workspace.

Na maioria dos casos de uso, é melhor usar pastas em um recurso da organização. Se você quiser manter suborganizações ou departamentos da sua empresa como entidades isoladas sem administração central, poderá configurar várias contas do Google Workspace ou do Cloud Identity. Cada conta tem um único recurso de organização associado a um domínio principal.

Efeitos do uso de vários recursos da organização

Use vários recursos da organização quando não quiser que os usuários de uma conta do Google Workspace ou do Cloud Identity acessem recursos criados por usuários de outra conta do Google Workspace ou do Cloud Identity. Separar recursos em vários recursos da organização tem várias consequências:

  • Por padrão, nenhum usuário terá visibilidade central e controle de todos os recursos.

  • As políticas comuns nas suborganizações precisarão ser replicadas em cada recurso da organização.

  • Mover pastas de um recurso da organização para outro não é uma operação compatível. É possível mover projetos de um recurso da organização para outro seguindo este guia.

  • Cada recurso da organização requer uma conta do Google Workspace. Portanto, para operar vários recursos da organização, é necessário ter várias contas do Google Workspace e a capacidade de gerenciar identidades entre elas.

Como usar um único recurso da organização

A maioria das organizações que quer manter suborganizações separadas pode fazer isso usando um único recurso de organização e pastas. Se você tiver uma única conta do Google Workspace, ela será mapeada para o recurso da organização, e as suborganizações serão mapeadas para as pastas.

Escolher um administrador da organização

Escolha um ou mais usuários para atuar como Administrador da organização do IAM no recurso da organização.

Console

Para adicionar um administrador da organização:

  1. Faça login no console do Google Cloud como superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione o recurso da organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione o recurso da organização ao qual você quer adicionar um Administrador da Organização.

    3. Na lista que aparece, clique no recurso da organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como Administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização pode fazer o seguinte:

    • Assuma o controle total do recurso da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Criar pastas para suborganizações

Crie uma pasta no recurso da organização para cada suborganização.

Para criar pastas, você precisa ter o papel Administrador de pasta ou Criador de pastas no nível pai. Por exemplo, para criar pastas no nível da organização, você precisa ter um desses papéis no nível da organização.

Como parte da criação de uma pasta, você precisa atribuir um nome a ela. Os nomes de pasta precisam atender aos seguintes requisitos:

  • O nome pode conter letras, dígitos, espaços, hifens e sublinhados.
  • O nome de exibição da pasta precisa começar e terminar com uma letra ou um dígito.
  • O nome precisa ter entre 3 e 30 caracteres.
  • O nome precisa ser distinto de todas as outras pastas que compartilhem o mesmo pai.

Para criar uma pasta:

Console

As pastas podem ser criadas na IU usando a seção "Gerenciar projetos e pastas".

  1. Acesse a página Gerenciar recursos no console do Google Cloud:

    Abrir a página "Gerenciar recursos"

  2. Verifique se o nome do recurso da organização está selecionado na lista suspensa da organização, na parte superior da página.

  3. Clique em Criar pasta e selecione uma das seguintes opções:

    • Pasta padrão: um recurso de pasta padrão.
    • Pasta Assured Workloads: uma pasta Assured Workloads que fornece outros controles regulamentares, regionais ou soberanos para recursos do Google Cloud. Ao selecionar essa opção, você será direcionado ao Assured Workloads para criar uma pasta.

  4. Na caixa Nome da pasta, insira o nome da nova pasta.

  5. Em Destino, clique em Procurar e selecione o recurso ou a pasta da organização em que você quer criar a nova pasta.

    1. Clique em Criar.

gcloud

É possível criar pastas de modo programático usando a Google Cloud CLI.

Para criar uma pasta no recurso da organização usando a ferramenta de linha de comando gcloud, execute o comando a seguir.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para criar uma pasta cujo pai é outra pasta:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta. Pastas com o mesmo pai não podem ter o mesmo nome de exibição. O nome de exibição precisa começar e terminar com uma letra ou um dígito, pode conter letras, dígitos, espaços, hifens e sublinhados e não pode ter mais de 30 caracteres;
  • [ORGANIZATION_ID] é o ID do recurso da organização pai, se o pai for um recurso da organização.
  • [FOLDER_ID] é o código da pasta pai, se o pai for uma pasta.

API

É possível criar pastas com uma solicitação de API.

A solicitação JSON:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

A solicitação curl Criar pasta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta nova. Por exemplo, "Minha pasta maravilhosa";
  • [ORGANIZATION_NAME] é o nome do recurso da organização em que a pasta está sendo criada. Por exemplo, organizations/123.

A resposta Criar pasta:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

A solicitação curl Receber operação:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

A resposta Receber operação:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Atribuir papéis de administrador na pasta

Para cada pasta da suborganização que você cria, atribua o papel Administrador de pasta a um ou mais usuários. Esses usuários terão controle administrativo sobre a pasta e a suborganização que ela representa.

Para configurar o acesso às pastas, você precisa ter o papel Administrador de pastas do IAM ou Administrador de pasta no nível pai.

Console

  1. No console do Google Cloud, abra a página Gerenciar recursos.

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior esquerda e selecione o recurso da organização.

  3. Marque a caixa de seleção ao lado do projeto em que você quer alterar as permissões.

    1. No Painel de informações ao lado direito, em Permissões, insira os endereços de e-mail dos membros que você quer adicionar.

    2. Na lista suspensa Selecionar papel, escolha o papel que você quer conceder a esses membros.

    3. Clique em Adicionar. Uma notificação será exibida para confirmar a adição ou atualização do novo papel dos membros.

gcloud

É possível configurar o acesso às pastas de forma programática usando a Google Cloud CLI ou a API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Em que:

  • [FOLDER_ID] é o código da nova pasta.
  • [POLICY_FILE] é o caminho para um arquivo de política para a pasta.

API

O método setIamPolicy define a política de controle de acesso em uma pasta, substituindo qualquer política atual. O campo resource precisa ser o nome do recurso da pasta, por exemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

A solicitação curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Em que:

  • [FOLDER_NAME] é o nome da pasta com a política do IAM que está sendo definida. Por exemplo, folders/123.

Como restringir papéis das suborganizações

Cada Administrador de pasta pode restringir o papel Criador do projeto aos membros da sua suborganização. Ele também pode remover o domínio do papel Criador do projeto na política do IAM do recurso da organização.

Os superadministradores do Google Workspace têm privilégios irrevogáveis de administrador da organização. Esses superadministradores normalmente gerenciam as identidades e as políticas de identidade, em vez de gerenciar recursos e políticas de recursos do Google Cloud.

Console

Para remover os papéis atribuídos por padrão aos usuários usando o console do Google Cloud:

  1. Acesse a página Gerenciar recursos no console do Google Cloud:

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior da página e selecione o recurso da organização.

  3. Marque a caixa de seleção do recurso da organização em que você quer alterar as permissões. Se você não tiver um recurso Pasta, o recurso da organização não estará visível. Para continuar, veja as instruções para revogar papéis por meio da página do IAM.

  4. No Painel de informações ao lado direito, em Permissões, clique para expandir o papel do qual você quer remover usuários.

  5. Na lista expandida de papéis, clique em Remover ao lado do membro que você quer remover do papel.Captura de tela da IU

  6. Na caixa de diálogo Remover principal? que é exibida, clique em Remover para confirmar a remoção do papel do principal especificado.

  7. Repita as duas etapas acima para cada papel que você quer remover.

Exemplo

O diagrama abaixo ilustra uma organização que usou pastas para separar dois departamentos. Os chefes dos departamentos de engenharia e de finanças têm controle administrativo, e outros usuários não podem criar projetos.

Diagrama da hierarquia

Como gerenciar várias organizações em um recurso de organização principal

Se a organização tiver várias contas do Google Workspace, você terá vários recursos de organização por padrão. Para manter a visibilidade e o controle centrais, escolha um recurso da organização como principal. Os superadministradores da conta do Google Workspace associada ao recurso principal da organização terão controle administrativo sobre todos os recursos, incluindo aqueles criados pelos usuários das outras contas do Google Workspace. Os usuários dessas contas do Google Workspace terão acesso a uma pasta no recurso principal da organização, em que poderão criar projetos.

Escolher um administrador da organização

Escolha um ou mais usuários para atuar como Administrador da organização do IAM no recurso da organização.

Console

Para adicionar um administrador da organização:

  1. Faça login no console do Google Cloud como superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione o recurso da organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione o recurso da organização ao qual você quer adicionar um Administrador da Organização.

    3. Na lista que aparece, clique no recurso da organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como Administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização pode fazer o seguinte:

    • Assuma o controle total do recurso da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Remover o papel Criador do projeto

Remova o papel Criador de projetos do recurso da organização para garantir que os recursos não sejam criados nos outros recursos da organização.

Console

Para remover os papéis atribuídos por padrão aos usuários usando o console do Google Cloud:

  1. Acesse a página Gerenciar recursos no console do Google Cloud:

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior da página e selecione o recurso da organização.

  3. Marque a caixa de seleção do recurso da organização em que você quer alterar as permissões. Se você não tiver um recurso Pasta, o recurso da organização não estará visível. Para continuar, veja as instruções para revogar papéis por meio da página do IAM.

  4. No Painel de informações ao lado direito, em Permissões, clique para expandir o papel do qual você quer remover usuários.

  5. Na lista expandida de papéis, clique em Remover ao lado do membro que você quer remover do papel.Captura de tela da IU

  6. Na caixa de diálogo Remover principal? que é exibida, clique em Remover para confirmar a remoção do papel do principal especificado.

  7. Repita as duas etapas acima para cada papel que você quer remover.

Criar pastas para contas do Google Workspace

Crie uma pasta no recurso da organização para cada conta do Google Workspace.

Para criar pastas, você precisa ter o papel Administrador de pasta ou Criador de pastas no nível pai. Por exemplo, para criar pastas no nível da organização, você precisa ter um desses papéis no nível da organização.

Como parte da criação de uma pasta, você precisa atribuir um nome a ela. Os nomes de pasta precisam atender aos seguintes requisitos:

  • O nome pode conter letras, dígitos, espaços, hifens e sublinhados.
  • O nome de exibição da pasta precisa começar e terminar com uma letra ou um dígito.
  • O nome precisa ter entre 3 e 30 caracteres.
  • O nome precisa ser distinto de todas as outras pastas que compartilhem o mesmo pai.

Para criar uma pasta:

Console

As pastas podem ser criadas na IU usando a seção "Gerenciar projetos e pastas".

  1. Acesse a página Gerenciar recursos no console do Google Cloud:

    Abrir a página "Gerenciar recursos"

  2. Verifique se o nome do recurso da organização está selecionado na lista suspensa da organização, na parte superior da página.

  3. Clique em Criar pasta e selecione uma das seguintes opções:

    • Pasta padrão: um recurso de pasta padrão.
    • Pasta Assured Workloads: uma pasta Assured Workloads que fornece outros controles regulamentares, regionais ou soberanos para recursos do Google Cloud. Ao selecionar essa opção, você será direcionado ao Assured Workloads para criar uma pasta.

  4. Na caixa Nome da pasta, insira o nome da nova pasta.

  5. Em Destino, clique em Procurar e selecione o recurso ou a pasta da organização em que você quer criar a nova pasta.

    1. Clique em Criar.

gcloud

É possível criar pastas de modo programático usando a Google Cloud CLI.

Para criar uma pasta no recurso da organização usando a ferramenta de linha de comando gcloud, execute o comando a seguir.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para criar uma pasta cujo pai é outra pasta:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta. Pastas com o mesmo pai não podem ter o mesmo nome de exibição. O nome de exibição precisa começar e terminar com uma letra ou um dígito, pode conter letras, dígitos, espaços, hifens e sublinhados e não pode ter mais de 30 caracteres;
  • [ORGANIZATION_ID] é o ID do recurso da organização pai, se o pai for um recurso da organização.
  • [FOLDER_ID] é o código da pasta pai, se o pai for uma pasta.

API

É possível criar pastas com uma solicitação de API.

A solicitação JSON:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

A solicitação curl Criar pasta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta nova. Por exemplo, "Minha pasta maravilhosa";
  • [ORGANIZATION_NAME] é o nome do recurso da organização em que a pasta está sendo criada. Por exemplo, organizations/123.

A resposta Criar pasta:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

A solicitação curl Receber operação:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

A resposta Receber operação:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Atribuir papéis de administrador na pasta

Para cada uma das pastas criadas, atribua o papel Administrador de pasta a um ou mais usuários. Esses usuários receberão o controle administrativo sobre a pasta e a suborganização que ela representa.

Para configurar o acesso às pastas, você precisa ter o papel Administrador de pastas do IAM ou Administrador de pasta no nível pai.

Console

  1. No console do Google Cloud, abra a página Gerenciar recursos.

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior esquerda e selecione o recurso da organização.

  3. Marque a caixa de seleção ao lado do projeto em que você quer alterar as permissões.

    1. No Painel de informações ao lado direito, em Permissões, insira os endereços de e-mail dos membros que você quer adicionar.

    2. Na lista suspensa Selecionar papel, escolha o papel que você quer conceder a esses membros.

    3. Clique em Adicionar. Uma notificação será exibida para confirmar a adição ou atualização do novo papel dos membros.

gcloud

É possível configurar o acesso às pastas de forma programática usando a Google Cloud CLI ou a API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Em que:

  • [FOLDER_ID] é o código da nova pasta.
  • [POLICY_FILE] é o caminho para um arquivo de política para a pasta.

API

O método setIamPolicy define a política de controle de acesso em uma pasta, substituindo qualquer política atual. O campo resource precisa ser o nome do recurso da pasta, por exemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

A solicitação curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Em que:

  • [FOLDER_NAME] é o nome da pasta com a política do IAM que está sendo definida. Por exemplo, folders/123.

Cada Administrador de pasta poderá atribuir o papel Criador do projeto aos usuários do domínio associado.

Exemplo

O diagrama abaixo ilustra uma organização com um domínio principal que é isolado do domínio secundário adquirido. Cada um dos dois domínios tem as próprias contas do Google Workspace, sendo hypothetical.com o principal recurso da organização.

Diagrama da hierarquia